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Sys-teme de selectilon autiomatlque d' au-bhen-tlf ica^ion 

La presents invention concerne un serveur pour 
authentifier un usager d'uh terminal pour acceder a 
un service delivre par un prestataire via un 
mandataire en selectionnant dynamiquement une 
procedure d ' authentif ication a travers un reseau de 
telecommunications. Plus precisement, la procedure 
d ' authent if ication correspond a une authentif icat ion 
selectionnee en fonction au moins du prestataire, du 
terminal, du reseau et d^un niveau de securite 
d ' authentif icat ion , 

Les nombreux systemes d * authentif ication 
existants se dif f erencient par des niveaux de 
securite et des procedures d ' authentif ication . Une 
authentif icat ion classique par identif icateur (login) 
et mot de passe est statique, c'est-a-dire 
1 ' identif icateur et le mot de passe transmis a 
travers le reseau sont identiques lors 
d ' authentif ications successives . Cette 

authentif ication peut subir des piratages de mot de 
passe et offre ainsi un niveau de securite 
d ' authentif icat ion f aible . 

Une authentif ication par "nombre aleatoire 
(challenge) /reponse" est dynamique. Elle repose sur 
un principe de mot de passe a usage unique appele OTP 
(One-Time Password). La capture d'un mot de passe est 
alors inutile puisque le mot de passe n'est pas 
reutilisable . Lorsqu'un usager desire etre 
authentif ie aupres d'un serveur, le serveur genere un 
nombre aleatoire appele "challenge", et le transmet 
au terminal de 1* usager. L' usager saisit le mot de 
passe et 1' applique par des algorithmes de 
chiffrement et de hachage. Le terminal de 1' usager 
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transmet I'OTP au serveur qui dispose alors des 
informations necessaires a 1 ' authentif ication de 
1 ' usager . 

Des authentif ications a base de certificats sont 
5 egalement dynamiques. Elles implementent des 
algorithmes de cryptographie a cles publiques et 
asymet riques . Un certificat comprend une identite 
d' usager, une cle publique et une cle privee qui sont 
certifiees par une autorite de certification. La cle 

10 privee est gardee secrete par 1 * usager et memorisee 
dans le terminal de 1' usager. Un mot de passe saisi 
ou prononce ; une empreinte biometrique ou un code 
confidentiel peut etre necessaire pour activer la cle 
privee. En pratique apres 1' activation de la cle 

15 privee, un serveur transmet un challenge au terminal 
d'usager. Le terminal d'usager signe le challenge 
avec la cle privee de 1' usager correspondant et le 
transmet au serveur. Le serveur authentifie alors 
1' usager avec la cle publique de 1' usager. Par 

20 exemple, une authentif ication par signature 
electronique est a base de certificats. 

Comme les procedures d ' authentif ication sont 
generalement complexes et contraignantes a mettre en 

25 place, un mandataire de prestataires de services peut 
assurer de maniere transparente des procedures 
d ' authentif ication d'usager pour le compte de ses 
clients appeles "prestataires". Par exemple, un 
prestataire proposant un service d ' information en 

30 temps reel sur internet fait appel a un mandataire 
afin que celui-ci gere integralement la procedure 
d ' authentif ication de 1' usager. Les procedures 
d ' authentif ication du mandataire sont generalement 
identiques sur un meme reseau pour tous les 

35 prestataires, clients du mandataire. De plus, un 



prestataire ne peut pas modifier facilement la 
procedure d ' authentif ication de son choix en fonction 
du couple terminal (mobile, PC, television, PDA) et 
reseau de telecommunication (GPRS, internet) utilise 
par les usagers. 



La presente invention a pour objectif de 
remedier aux inconvenients precites en select ionna nt 
automatiquement une authentif icat ion en fonction du 
prestataire et de caracterist iques d ' un terminal 
d'usager et d'un reseau de telecommunications. 



Pour atteindre cet objectif, un serveur 
d ' authentif icat ion pour select ionner automatiquement 
1 ' une de plusieurs authentif ications identifiees 
respectivement par des ident if icateurs 

d' authentif ication afin d' authentif ier un usager d ' un 
terminal pour I'autoriser a acceder a un service 
dispense par un serveur de service d'un prestataire 
identifie par un identif icateur de prestataire a 
travers un reseau de communication, est caracterise 
en ce qu'il comprend : 

. un moyen pour selectionner dans une memoire un 
identif icateur d ' authentif ication en fonction de 
1 ' identif icateur de prestataire et du type du 
terminal et/ou du type du reseau de communications, 
et un moyen pour authentif ier 1' usager selon un 
processus d ' authentif ication associe a 

1 ' identif icateur d ' authentif icat ion . 



Le moyen pour selectionner peut selectionner 
egalement 1 ' identif icateur d * authentif ication en 
fonction d'un niveau de securite d * authentif ication 
en correspondance a 1 • identif icateur de prestataire, 
et/ou en fonction de regies d ' authentif icat ion 
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associees a 1 ' identif icateur de prestataire et 
appliquees a au moins un niveau de securite 
d ' authentif ication correspondant a 1 ' identif icateur 
de prestataire et/ou au type du terminal et/ou au 
5 type du reseau de communication. 

Selon une premiere realisation, lorsque I'usager 
desire utiliser un service offert par le serveur de 
service, une connexion est etablie entre le terminal 

10 d'usager et le serveur de service qui demande 
1 ' authentif ication de I'usager au moyen pour 
selectionner . Dans cette premiere realisation, le 
serveur de service comprend un moyen pour transmettre 
au moins 1 ' identif icateur de prestataire et le type 

15 du terminal et/ou le type du reseau de communication 
au moyen pour selectionner en reponse a une connexion 
etablie entre le terminal d'usager et le serveur de 
service, en reponse a la connexion etablie precitee. 

Selon une deuxieme realisation, une connexion 

20 est etablie entre le terminal d'usager et le moyen 
pour selectionner lorsque I'usager souhaite utiliser 
un service dans le serveur de service. Dans cette 
derniere realisation, le moyen pour selectionner 
transmet au terminal une liste de services identifies 

25 par des identif icateurs de service en reponse a la 
connexion etablie precitee, et le terminal transmet 
au moyen pour selectionner un identif icateur de 
service d'un service selectionne par I'usager dans la 
liste transmise, afin que le moyen pour selectionner 

30 selectionne 1 ' identif icateur d ' authentif ication en 
fonction egalement de 1 ' identif icateur de service 
selectionne. Selon une variante de la deuxieme 
realisation qui peut etre combinee a celle-ci, le 
moyen pour selectionner transmet au terminal une 

35 liste d' identif icateurs de prestataire en reponse a 
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une connexion etablie entre le terminal d'usager et 
le moyen pour selectionner, et le terminal transmet 
au moyen pour selectionner un identif icateur de 
prestataire selectionne par I'usager dans la liste 
5 transmise, afin que le moyen pour selectionner 
selectionne 1 ' identif icateur d ' authentif ication en 
fonction notamment de 1 ' identif icateur de prestataire 
selectionne . 

10 L' invention concerne egalement un procede pour 

selectionner automatiquement 1 ' une de plusieurs 
authent if icat ions identifiees respectivement par des 
ident if icateur s d * authent if icat ion afin 

d ' authentif ier un usager d*un terminal pour 

15 I'autoriser a acceder a un service dispense par un 
serveur de service d'un prestataire identif ie par un 
identif icateur de prestataire a travers un reseau de 
communication. Le procede est caracterise en ce qu*il 
comprend les etapes de : 

20 - selectionner dans une memoire un 

identif icateur d * authentif ication en fonction de 
1 * identif icateur de prestataire et du type du 
terminal et/ou du type du reseau de communication, et 
- authentifier I'usager selon un processus 

25 d ' authentif ication associe a 1 * identif icateur 
d ' authent if icat ion . 

D'autres caracteristiques et avantages de la 
presente invention apparaltront plus clairement a la 
30 lecture de la description suivante de plusieurs 
realisations preferees de 1' invention, a titre 
d'exemples non limitatifs, en reference aux dessins 
annexes correspondants dans lesquels : 
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- la figure 1 est un bloc-diagramme schematique 
d'un systeme de selection automat ique 
d ' authentif ication selon 1 ' invention ; 

- la figure 2 est un algorithme schematique d'un 
5 precede de selection d ' authentif ication mis en oeuvre 

dans le systeme de selection automatique 
d * authentif ication selon une premiere realisation de 
1 ' invention ; 

- la figure 3 est un algorithme schematique d'un 
10 precede de selection d ' authentif ication mis en oeuvre 

dans le systeme de selection automatique 
d ' authentif ication selon une deuxieme realisation de 
1 ' invention . 

15 Dans les realisations de 1' invention, le systeme 

de selection automatique d ' authentif ication off re des 
echanges d ' informations entre un mandataire, un 
prestataire de service et un usager. 

20 Le systeme de selection automatique 

d ' authentif ication selon 1 * invention est base sur une 
architecture du type client-serveur . II comprend 
principalement , en reference a la figure 1, plusieurs 
terminaux d' usager interactifs T, au moins un serveur 

25 d ' authentif ication SA en tant que "mandataire" et au 
moins un serveur de service SE en tant que 
"prestataire" . 

Un usager accede a travers son terminal 
interactif a des services necessitant une 

30 authentif ication de 1' usager. Selon la realisation 
illustree a la figure 1, un terminal d' usager Ti est 
par exemple du " type recepteur de television 
intelligent. Le recepteur de television Ti coopere 
avec une telecommande a afficheur et clavier 

35 alphanumerique servant egalement de souris a travers 
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une liaison infrarouge. En variants, la telecommande 
est completee par un clavier plus complet sans fil 
relie par liaison radioelectrique de proximite au 
televiseur . 

5 D'autres terminaux domestiques portables ou non 

sont envisageables tels que micro-ordinateur , 
telephone, console de jeux video, poste de radio, 
centrale d'alarme, etc. Le terminal T est desservi 
par une liaison de telecommunications LT et un reseau 

10 d'acces RA, tels qu ' une ligne telephonique et le 
reseau telephonique commute, pour etre connecte a un 
reseau de transmission de paquets a haut debit RP du 
type internet auquel est relie le serveur 
d ' authentif ication SA. 

15 Selon un autre exemple, le terminal d'usager T2 

de preference dote au moins d'un haut-parleur est un 
ordinateur personnel relie directement par modem a la 
liaison LT. Selon d'autres exemples, le terminal 
d'usager T3 comprend un dispositif ou objet 

20 electronique de telecommunications personnel a 
I'usager qui peut etre un assistant numerique 
personnel PDA, ou bien comprend un poste radio 
intelligent a la place du recepteur de television Ti, 
les deux types de recepteur pouvant coexister. 

25 La liaison de telecommunications LT peut etre 

une ligne xDSL (Digital Subscriber Line) ou une ligne 
RNIS (Reseau Numerique a Integration de Services) 
reliee au reseau d'acces correspondant . 

Selon encore un autre exemple, le terminal T4 

30 est un terminal radiotelephonique cellulaire mobile, 
la liaison de telecommunications LT est un canal 
radiotelephonique, et le reseau d'acces RA est le 
reseau fixe d • un reseau de radiotelephonie, par 
exemple de type GSM (Global System for Mobile 
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communications) ou UMTS (Universal Mobile 

Telecommunications System) . 

Les terminaux d'usager et les reseaux d'acces ne 
sont pas limites aux exemples ci-dessus illustres a 
la figure 1 et peuvent etre constitues par d'autres 
terminaux et reseaux d'acces connus . 



Le serveur d ' authentif icat ion SA comprend un 
module de selection d ' authentif ication MSA, un module 
d ' authentif ication MA et au moins une memoire a six 
tables de correspondance TAl a TA6. Le serveur 
d ' authentif ication est associe a un mandataire. 

Dans une variante, le serveur d ' authentif ication 
SA comprend deux serveurs distincts incluant 
respect ivement le module de selection 

d ' authentif ication MSA et le module 

d ' authentif ication MA. Par exemple, le module MA est 
dans un serveur HTTP quelconque relie au reseau de 
telecommunication RC et done au reseau de paquets RP, 
et ainsi communique avec le serveur SA incluant le 
module MSA. 

La premiere table TAl fait correspondre un 
identif icateur d ' authentif ication AUID a un 
identif icateur de processus d ' authentif ication PAID. 
Une authentif ication designe en general un ensemble 
de parametres, tels que login, mot de passe et des 
caracteristiques d'usager et un ensemble de processus 
d ' authentif ication utilisant cet ensemble de 
parametres. Un processus d ' authentif ication definit 
des etapes successives d'une authentif ication 
identif iee par 1 ' identif icateur d ' authentif ication 
AUID. 

La deuxieme table TA2 fait correspondre 
1 ' identif icateur d ' authentif ication AUID de chaque 
authentif ication a au moins un type du terminal T 



et/ou un type d'un reseau de communication RC pouvant 
supporter 1 ' authentif ication identifiee. En effet:, 
les authentif ications different selon le type du 
terminal T et/ou le type du reseau de communication 
RC a travers lequel transitent les messages echanges 
entre le terminal et le serveur SE ou SA selon une 
premiere ou deuxieme realisation de precede decrite 
plus loin. 

Le reseau de communication RC est defini par un 
ensemble de lignes et d'appareils necessaires a une 
transmission specif ique de donnees. Par exemple un 
reseau SMS (Short Message Service) est un reseau de 
communication assimile a une partie du reseau GSM 
reutilisee dans le transfert de messages courts et 
d'appareils specifiques tel qu ' un serveur de messages 
courts. Un reseau vocal constitue d ' une plateforme 
vocale VXML (Voice extensible Markup Language) , de 
serveurs applicatifs et d'une partie du reseau 
radiotelephonique ou telephonique commute est un 
autre reseau de communication. Selon d'autres 
exemples, un reseau de communication selon 
1' invention peut etre au moins 1 * un des reseaux GSM, 
UMTS, WAP (Wireless Application Protocol), USSD 
(Unstructured Supplementary Services Data) , Internet, 
etc . 

La troisieme table TA3 associe au moins un 
identif icateur de service SID a au moins un 
identif icateur de prestataire de service PRID, c'est- 
a-dire un identif icateur PRID d'un serveur de service 
SE dispensant un service identifie par 
1 ' identif icateur SID. Un service peut etre associe a 
un ou plusieurs prestataires et reciproquement un 
prestataire peut etre associe a un ou plusieurs 
services. A des fins de simplification, le mot 
"prestataire" peut designer egalement au moins un 
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service gere par le prestataire, voire au moins un 
serveur de service gere par le prestataire. 

La quatrieme table TA4 fait correspondre a 
chaque identif icateur de prestataire PRID aucune ou 
au moins une regie d ' authentif ication RE et au moins 
un niveau de securite d' authentif ication NAU autorise 
par le prestataire identif ie par 1 ' identif icateur de 
prestataire, ou au moins un identif icateur 
d* authentif ication AUID. Les regies 

d^authentif ication definissent par exemple une action 
a executer lorsque plusieurs niveaux de securite 
d' authentif ication sent autorises par un prestataire 
et/ou lorsque les types du terminal T et du reseau de 
communication RC identifies supportent plusieurs 
authentif ications ayant un niveau de securite 
d ' authentif ication autorise . 

La cinquieme table TA5 associe a chaque niveau 
de securite d ' authentif ication NAU au moins un 
identif icateur d ' authentif ication AUID. 

La sixieme table TA6 contient des 

identif icateurs d'usager USID dont les 'usagers ont 
chacun un acces a au moins un couple identif icateur 
de prestataire et identif icateur de service (PRID, 
SID) qui est interdit, et eventuellement fait 
correspondre ■ 1 ' identif icateur USID d ' un usager a des 
informations respectives IMP susceptibles de 
renseigner sur des causes d • interdiction de service 
relatives a 1* usager. Par exemple, les informations 
IMP renseignent sur des defauts de paiement par 
1' usager. La table TA6 en liaison avec la table TA3 
fait correspondre a chaque identif icateur d* usager 
USID au moins un couple identif icateur de prestataire 
PRID et identif icateur de service SID. 



11 



Le module d • authentif ication MA comprend une 
memoire de type PROM qui inclut plusieurs processus 
(algorithmes) d ' authentif ication designes par des 
identif icateurs PAID, et une base de donnees 
d'usagers comprenant au moins deux tables de memoire 
TAAl et TAA2. La table TAAl associe 1 ' identif icateur 
USID de chaque usager a des informations personnelles 
sur 1' usager, tels qu ' un nom, un prenom, un mot de 
passe, un login, etc., la table TAA2 associe 
1 ' identif icateur USID d * un usager a au moins un 
couple identif icateur de prestataire PRID et 
identif icateur de service SID. 

De preference, le systeme de selection 
automatique d ' authentif ication selon 1 ' invention 
comprend plusieurs serveurs de service SEi a SEi 
montres a la figure 1. Un serveur de service est de 
type serveur HTTP classique et dispose d ' au moins une 
application dispensant au moins un service aupres de 
plusieurs usagers a travers les terminaux T. Au moins 
un serveur de service SE est associe a un prestataire 
de service proposant au moins un service aux usagers. 
La nature des services importe peu pour 1' invention. 
A titre d'exemple, un service est une consultation de 
compte bancaire ou la reception d'actualites 
boursieres. Un outil de programmat ion tel qu'une 
interface de programmation d ' application API 
(Application Programming Interface) est installe sur 
chaque serveur de service SE. Cet outil API assure 
des echanges de donnees formatees entre 1 ' une des 
applications de service implementees dans 1 * un des 
serveurs de service SE et le serveur 
d ' authentif ication SA. 



12 



Un procede de selection d ' authentif ication 
comprend principalement des etapes El a E13 selon une 
premiere realisation montree a la figure 2. Un 
terminal d'usager T requiert une connexion avec 1 • un 
des serveurs de service SE a I'etape El, en lui 
transmettant une demande d'acces de service. 

En reponse a la connexion etablie entre le 
terminal d'usager et le serveur de service SE, 
I'outil de programmation API installe dans le serveur 
de service SE etablit une connexion avec le serveur 
d* authentif ication SA pour transmettre au module de 
selection d * authentif ication MSA 1 ' identif icateur de 
prestataire PRID, le type du terminal T et le type du 
reseau de communication RC , et des ident if icateurs 
de service SID lorsque plusieurs services sont 
proposes par le prestataire gerant le serveur SE, a 
1 * etape E2 . Le serveur de service SE redirige la 
connexion avec le terminal d'usager T vers le serveur 
d ' authentif ication SA en transmettant I'adresse URL 
(Uniform Ressource Locator) du serveur SE au terminal 
T, Le terminal d'usager T est alors redirige vers le 
serveur d ' authentif ication SA. 

Le module de selection d ' authentif ication MSA 
selectionne dans une memoire (TAl a TA6) un 
identif icateur d ' authentif ication AUID en fonction en 
outre de 1 ' identif icateur de prestataire PRID et du 
type du terminal T et/ou du type de reseau de 
communication RC transmis, afin que le module 
d* authentif ication MA lance ulterieurement un 
processus d " authentif ication associe a 

1 ' identif icateur d' authentif ication selectionne AUID 
dans le terminal d'usager T. 

A I'etape E3, le module de selection 
d' authentif ication MSA dans le serveur 

d' authentif ication SA selectionne dans la table TA4 
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au moins un niveau de securite d ' authentif ication NAU 
correspondant a 1 • identif icateur du prestataire 
transmis PRID. Le niveau de securite 

d' authentif ication contribue egalement a la selection 
de 1 ' identif icateur d ' authentif ication AUID. En 
variante, lorsque plusieurs niveaux de securite 
d ' authentif ication sont determines a 1 ' etape E3, les 
regies d ' authentif icat ion RE associees a 

1 ' identif icateur de prestataire PRID dans la table 
TA4 permettent de selectionner un seul niveau 
d ' authentif ication NAU et ainsi participent a la 
selection de 1 ' identif icateur d ' authent if ication 
AUID. Par exemple, une regie d ' authentif icat ion est : 
"selectionner en permanence le niveau de securite 
d ' authentif ication le plus eleve". 

Puis a 1' etape E4, le module de selection MSA 
selectionne dans la table TA5 au moins un 
identif icateur d ' authentif ication AUIDl correspondant 
au ou aux niveaux de securite d ' authentif ication NAU 
selectionnes a 1 * etape E3. 

A 1' etape E5, le module de selection MSA 
selectionne dans la table TA2 au moins un 
identif icateur d • authentif ication AUID2 correspondant 
au type du terminal et/ou au type du reseau de 
communication transmis par le serveur SE. En 
variante, 1 • etape E5 se deroule avant ou apres 
1' etape E3. 

A 1' etape E6, le module de selection MSA 
determine des identif icateurs d • authentif ication 
AUID3 communs aux identif icateurs d ' authentif ication 
AUIDl et AUID2 selectionnes aux etapes E4 et E5. 
Lorsqu'il n'y a aucun identif icateur d'authenti- 
fication commun, un message de rejet signalant un 
re jet de I'acces au service demande par I'usager est 
envoye par le serveur d ' authentif ication SA au 
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terminal d'usager T a une etape E71. Lorsque 
plusieurs identif icateurs d ' authentif ication AUID3 
sont en conimun, les regies d ' authentif ication RE 
associees a 1 ' identif icateur de prestataire PRID 
5 permettent de ne select ionner qu'un seul 
identif icateur d ' authentif ication AUID a une etape 
E72 . 

Le module de selection d ' authentif ication ayant 
selectionne 1 * identif icateur de 1 ' authentif ication 

10 AUID, le module d ' authentif ication MA dans le serveur 
d * authentif ication SA selectionne dans la table TAl 
un identif icateur de processus d ' authentif ication 
PAID correspondant a 1 ' identif icateur 

d' authentif ication AUID a 1 ' etape E8 . Le module 

15 d ' authentif ication MA lance le processus 

d * authentif ication identif ie par 1 * identif icateur de 
processus selectionne PAID a 1 ' etape E9. Le processus 
d ' authentif ication definit des etapes qui composent 
1 ' authentif ication associee au processus. Par 

20 exemple, 1 ' authentif ication selectionnee est une 
authentif ication classique par login et mot de passe, 
et I'une des etapes du processus de 
1 * authentif ication est alors un envoi d'une demande 
de saisie du login et du mot de passe par le serveur 

25 d • authentif ication SA au terminal d'usager T. 

Lorsque 1 * usager n'est pas authentif ie a 1 ' etape 
ElO le module d ' authentif ication MA du serveur 
d ' authentif ication SA transmet au terminal un message 
de rejet a une etape E012. 

30 Un usager authentifie est ainsi un usager dont 

1 ' identif icateur USID est inclus dans la table de 
memoire TAAl du module d ' authentif ication MA, 

Lorsque 1' usager est authentifie, le module 
d' authentif ication MA verifie dans la table TAA2 si 

35 1" usager a souscrit au couple prestataire/service a 
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une etape Ell, c ' est-a-dire si 1 ' identif icateur 
d'usager USID est associe au couple identif icateur de 
prestataire selectionne et identif icateur de service 
selectionne (PRID, SID) dans la table TAA2 . Lorsque 
I'usager n*a pas souscrit au ■ couple 

prestataire/service, le module d ' authentif icat ion MA 
transmet au terminal un message de rejet a 1 * etape 
E012. 

Lorsque I'usager est authentif ie et a souscrit 
au couple prestataire/service , le module 

d' authentif ication MA verifie dans la table TAG si 
I'usager n ' est pas interdit d'acces au couple 
identif icateur de prestataire et identif icateur de 
service (PRID, SID) a 1 ' etape E12 . Lorsque I'usager 
est interdit d'acces, le module d * authentif icat ion 
transmet au terminal un message de rejet a 1' etape 
E012. 

Lorsque I'usager n'est pas interdit d'acces, et 
done a la suite d'une authentif icat ion positive de 
I'usager, le module d ' authentif ication MA dans le 
serveur d ' authentif ication SA commande une 
redirection de la connexion avec le terminal T vers 
le serveur de service SE. Le module MA dans le 
serveur SA commande egalement la transmission du type 
du terminal, du type du reseau de communication, de 
1 ' identif icateur de service SID, du niveau de 
securite d ' authentif ication NAU selectionne ou 
designe par 1 ' identif icateur d ' authentif ication AUID, 
et eventuellement de 1 ' identif icateur d'usager USID 
et/ou d'un ticket de facturation et/ou d ' un resultat 
de 1 ' authentif ication de I'usager qui est ici 
positif, au serveur de service SE, plus 
particulierement a I'outil de programmat ion API du 
serveur de service, a 1' etape E13. La transmission de 
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1 ' identif icateur de service SID est utile lorsque le 
serveur de service SE dispense plusieurs services. 

En pratique, le module d ' authentif ication MA 
memorise le resultat de 1 ' authentif ication de 
5 I'usager afin de conserver une trace de 
1 ' authentif ication lors d ' un litige entre 1 ' usager du 
terminal T et le prestataire gerant le serveur de 
service SE. 

En variante, au moins 1 ' une des etapes Ell et 
10 E12 precede les etapes d ' authentif ication E8, E9 et 
ElO. 

Dans une variante principale de la premiere 
realisation, le module de selection d'authen- 

15 tification MSA dans le serveur d ' authentif icat ion SA 
selectionne a 1 ' etape E3 dans la table TA4 tous les 
identif icateurs d ' authentif ication AUID associes a 
1 ' identif icateur de prestataire PRID transmis par le 
serveur de service SE au lieu de selectionner un 

20 niveau de securite d ' authentif ication NAU. Dans cette 
variante, I'etape E4 est supprimee. A I'etape E5, le 
module de selection MSA selectionne dans la table TA2 
au moins un identif icateur d * authentif ication AUID2 
correspondant au type du terminal T et/ou du reseau 

25 de communication RC transmis par le serveur SE. A 
I'etape E6, le module de selection determine des 
identif icateurs d ' authentif ication communs a ceux 
resultants des selections realisees aux etapes E3 et 
E5. Lorsqu'aucun identif icateur d ' authentif ication 

30 commun n'est determine par le module de selection, un 
message de re jet est envoye du serveur 
d' authentif ication SA au terminal d' usager T a 
I'etape E71- Lorsque plusieurs identif icateurs 
d ' authentif ication sont en commun, les regies 

35 d ' authentif ication RE associees a 1 ' identif icateur de 
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prestataire PRID permettent de ne selectionner qu'un 
seul identif icateur d ' authentif ication AUID a 1 ' etape 
E72. Les etapes suivantes sont identiques a celles de 
la premiere realisation. 

Un parametre peut etre renseigne au niveau de 
I'outil de programmation API par le prestataire, afin 
de choisir entre un mode par niveau de securite 
d ' authentif ication correspondant a la premiere 
realisation et un mode par authentif icat ion 
correspondant a la variante enoncee ci-dessus. Ce 
parametre est transmis par I'outil API au serveur 
d ' authentif ication SA a 1 ' etape E2 . Ce parametre peut 
etre associe prealablement a 1 * identif icateur de 
prestataire PRID dans la table TA4 . 

Dans une deuxieme realisation, le precede de 
selection d' authentif ication comprend principalement 
des etapes Fl a F16 montrees a la figure 3. Le 
terminal requiert une connexion directe avec le 
module de selection d ' authentif ication MSA dans le 
serveur d ' authentif ication SA a I'etape Fl . 

En reponse a la connexion etablie entre le 
terminal d'usager T et le module de selection MSA, le 
serveur d * authentif ication SA ou plus precisement le 
module de selection d ' authentif ication MSA transmet 
au terminal T une liste de services {SID} differents 
contenus dans la table TA3 a I'etape F2 . La liste de 
services {SID} comporte au moins les identif icateur s 
SID des services et en variante d'autres 
caracteristiques comme un nom et une description de 
chaque service. L'usager du terminal T selectionne un 
service dans la liste de services {SID}. Le terminal 
T transmet au module de selection MSA 
1 ' identif icateur de service SID associe au service 
selectionne par I'usager a I'etape F3 dans la liste 



18 



transmise. Le module de selection d ' authentif ication 
selectionne 1 ' identif icateur d ' authentif ication AUI D 
en fonction egalement de 1 ' identif icateur de service 
selectionne SID. 

A I'etape F4 le serveur d ' authentif ication SA 
selectionne dans la table TA3 tous les 
identif icateurs de prestataire correspondant a 
1 ' identif icateur de service selectionne SID, sous la 
forme d • une liste d ' identif icateurs de prestataire 
{ PRID} . 

Lorsque la liste d ' identif icateurs de 
prestataire comprend plusieurs identif icateurs de 
prestataire PRID correspondant a 1 * identif icateur de 
service selectionne SID, le serveur 

d ' authentif ication SA transmet au terminal d*usager T 
la liste {PRID} des identif icateurs de prestataire 
susceptibles d'offrir le service identif ie par 
1 • identif icateur de service SID, a une etape F51, 
Cette liste d ' identif icateurs de prestataire {PRID} 
comporte au moins les identif icateurs des 
prestataires et en variante d'autres caracterist iques 
comme un nom et une description de chaque 
prestataire. L'usager du terminal selectionne un 
prestataire puis le terminal transmet au serveur 
d ' authentif ication SA 1 ' identif icateur PRID du 
prestataire selectionne par l'usager a une etape F52 . 

Lorsqu'aucun identif icateur de prestataire ne 
correspond a 1 ' identif icateur de service SID, un 
message d'erreur est transmis par le serveur 
d ' authentif ication SA au terminal T a une etape F53, 
afin de notifier a l'usager du terminal qu * aucun 
prestataire ne delivre encore ce service. 



Dans une variante, le serveur d ' authentif ication 
SA transmet directement une liste de tous les 
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identif icateurs de prestataire contenus dans la table 
TA4 au terminal T, a la place de la liste des 
identif icateurs de service, a 1 ' etape F2 . L'usager 
selectionne directement un prestataire, et 
1 * identif icateur de prestataire selectionne PRID, a 
la place de 1 ' identif icateur de service SID 
selectionne, est alors transmis par le terminal T au 
module de selection d * authentif ication MSA du serveur 
d* authentif ication SA a I'etape F3 . Le module de 
selection d * authentif ication MSA selectionne 
1 ' identif icateur d ' authentif icat ion AUID en fonction 
notamment de 1 * identif icateur de prestataire PRID 
selectionne . 

Lorsque plusieurs identif icateurs de service 
correspondent a 1 ' identif icateur de prestataire PRID 
selectionne precedemment , le serveur 

d' authentif ication transmet au terminal chaque 
identif icateur de prestataire et la liste 
d * identif icateurs de service associee a I'etape F2 . 
L'usager du terminal selectionne le prestataire et 
l*un des services offerts par le prestataire 
selectionne, puis le terminal T transmet au serveur 
d' authentif ication SA 1 ' identif icateur PRID du 
prestataire et 1 ' identif icateur SID du service 
selectionnes par 1 ' usager du terminal, a I'etape F3 . 
Dans cette variante, les etapes F4 , F51, F52 et F53 
sont supprimees. 

Le serveur d ' authentif icat ion SA a alors en 
memoire - le couple identif icateur de prestataire et 
identif icateur de service (SID, PRID) correspondant 
au souhait de I'usager. 

Les etapes suivantes F6 a F15 correspondent 
respectivement aux etapes E3 a E12 de la premiere 



realisation de precede de selection montree a la 
figure 2. 

A I'etape F8 correspondant a I'etape E5, le 
serveur d ' authentif ication SA determine le type du 
terminal et le type du reseau de communication RC 
utilise pour communiquer entre le terminal T et le 
serveur d ' authent if ication SA. Puis ce dernier 
selectionne au moins un identif icateur 

d* authentif ication AUID2 en fonction du type du 
terminal T et/ou du type du reseau de communication 
RC, comma cela a ete decrit pour I'etape E5. 

Lorsque i'usager est authent if ie ;r a souscrit au 
couple prestataire/service, et est autorise a acceder 
au couple prestataire/service, le serveur 

d ' authentif ication SA redirige la connexion avec le 
terminal T vers le serveur de service SE et transmet 
a I'etape F16 au serveur de service SE, et plus 
particulierement a I'outil API du serveur de service 
SE, le type du terminal, le type du reseau de 
communication de I'usager, 1 ' identif icateur de 
service SID, le niveau de securite d ' authentif ication 
NAU selectionne, et eventuellement 1 ' identif icateur 
d'usager USID et/ou un ticket de facturation et/ou le 
resultat de 1 ' authentif ication qui est positif. 

Lorsque le resultat de 1 ' authentif ication de 
I'usager est positif et transmis ou plus simplement 
lorsque le type du terminal, le type du reseau de 
communication, 1 ' identif icateur de service et le 
niveau de securite d ' authentif ication sont transmis, 
le serveur de service SE autorise le terminal 
d'usager a acceder au service souhaite par I'usager 
et identif ie par 1 ' identif icateur de service SID. 
Dans d'autres cas, I'acces est refuse a I'usager 
comme indique a I'etape E012. 
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Le type du terminal T et le type du reseau de 
communication RC sont transmis afin que le serveur de 
service SE adapte la communication au terminal- Par 
exemple, si le terminal est un terminal 
5 radiotelephonique cellulaire mobile et le protocole 
d'echange avec celui-ci a travers 1 ' internet est de 
type WAP, le serveur de service SE communiquera avec 
le terminal en utilisant le . langage WIML (Wireless 
Markup Language) . 

10 

Dans une variante de la deuxieme realisation, 
apres 1 ' etape Fl et avant 1 * etape F2 , I'usager du 
terminal T selectionne lui-meme un niveau de securite 
d' authentif ication NAU parmi plusieurs connus 

15 prealablement . En reponse a 1 ' identif icateur 
selectionne NAU transmis par le terminal au serveur 
d ' authentif ication SA, ce dernier transmet des 
identif icateurs de service SID correspondant au 
niveau d ' authentif ication selectionne par I'usager a 

20 I'etape F2 , L'usager selectionne le service, puis le 
terminal transmet 1 ' identif icateur de service SID au 
serveur d ' authentif ication SA, a I'etape F3 . Ensuite 
dans les etapes suivantes F4 a F16, I'etape F6. 
correspondant a I'etape E3 est supprimee. 

25 

En variante lorsque dans les premiere et 
deuxieme realisations le serveur d ' authentif ication 
SA transmet 1 ' identif icateur d'usager USID, le 
serveur d ' authentif ication peut egalement transmettre 
30 d*autres parametres sur I'usager comme le nom, le 
prenom, etc. 

La variante principale de la premiere 
realisation peut etre appliquee dans le contexte de 
35 la deuxieme realisation. 



L' invention d6crite ici concerne un precede at 
un serveur de selection d ' authentif ication . Selon une 
implementation preferee, les etapes du procede sont 
determinees par les instructions d'un programme de 
selection d ' authentif ication incorpore dans un 
serveur d * authent if icat ion SA, et le procede selon 
1' invention est mis en oeuvre lorsque ce programme est. 
charge dans un ordinateur dont le f onct ionnement est 
alors commande par 1 ' execution du programme. 

En consequence, 1 ' invention s' applique egalement 
a un programme d ' ordinateur , notamment un programme 
d* ordinateur sur ou dans un support d ' informations , 
adapte a mettre en oeuvre 1' invention. Ce programme 
peut utiliser n'importe quel langage de programmation 
et etre sous la forme de code executable ou dans 
n'importe quelle forme souhaitable pour implementer 
un procede selon 1' invention. 

Le support d ' informations peut etre n^importe 
quelle entite ou dispositif capable de stocker le 
programme- Par exemple, le support peut comporter un 
moyen de stockage, tel qu'une ROM, par exemple un CD 
ROM ou une ROM de circuit microelectronique, ou 
encore un moyen d ' enregistrement magnetique, par 
exemple une disquette (floppy disc) ou un disque dur . 

D' autre part, le support d ' informations peut 
etre un support transmissible tel qu ' un signal 
electrique ou optique, qui peut etre achemine via un 
cable electrique ou optique, par radio ou par 
d'autres moyens . Le programme selon 1' invention peut 
etre en particulier telecharge sur un reseau de type 
internet . 

Alternativement, le support d ' informations peut 
etre un circuit integre dans lequel le programme est 
incorpore, le circuit etant adapte pour executer ou 
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pour etre utilise dans 1' execution du procede selon 
1 ' invention . 
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REVENDICATIONS 

1 - Serveur d ' authentif ication pour selectionner 
automatiquement 1 ' une de plusieurs authentif ications 

5 identifiees respectivement par des identif icateurs 
d* authentif ication (AUID) afin d ' authentif ier un 
usager d * un terminal (T) pour I'autoriser a acceder a 
un service dispense par un serveur de service (SE) 
d'un prestataire identifie par un identif icateur de 
10 prestataire (PRID) a travers un reseau de 
communication (RC) , caracterise en ce qu'il comprend 

un moyen (iXISA) pour selectionner dans une 
memoire (TAl a TA6) un identif icateur 

15 d' authentif ication (AUID) en fonction de 

1 ' identif icateur de prestataire (PRID) et du type du 
terminal et/ou du type du reseau de communication, et 
un moyen (MA) pour authentif ier 1' usager selon un 
processus d ' authentif ication associe a 

20 1 * identif icateur d * authentif ication (AUID). 

2 - Serveur d ' authentif ication conforme a la 
revendication 1, dans lequel le moyen pour 
selectionner (MSA) selectionne (E4) 1 ' identif icateur 

25 d' authentif ication (AUID) en fonction d'un niveau de 
securite d ' authentif ication (NAU) en correspondance a 
1 ' identif icateur de prestataire (PRID). 

3 - Serveur d ' authentif ication conforme a la 
30 revendication 1 ou 2, caracterise en ce que le moyen 

pour selectionner (MSA) selectionne 1 ' identif icateur 
d' authentif ication (AUID) en fonction de regies 
d ' authentif ication (RE) associees a 1 ' identif icateur 
de prestataire (PRID) et appliquees a au moins un 
35 niveau de securite d ' authentif ication (NAU) 
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correspondant a 1 ' identif icateur de prestataire 
(PRID) et/ou au type de terminal et/ou au type de 
reseau de communication. 

5 4 - Serveur d ' authentif ication conforme a 1 ' une 

quelconque des revendications 1 a 3, caracterise en 
ce que le serveur de service (SE) comprend un moyen 
(API) pour transmettre (E2) au moins 1 ' identif icateur 
de prestataire (PRID) et le type de terminal et/ou le 
10 type de reseau de communication au moyen pour 
selectionner (MSA) en reponse a une connexion etablie 
entre le terminal d^usager (T) et le serveur de 
service (SE) . 

5 - Serveur d ' authentif ication conforme a 1 * une 
quelconque des revendications 1 a 3, dans lequel le 
moyen pour selectionner (MSA) transmet au terminal 
(F2) une liste de services ({SID}) identifies par des 
identif icateurs de service (SID) en reponse a une 
connexion etablie entre le terminal d'usager (T) et 
le moyen pour selectionner (MSA) , et le terminal 
transmet (F3) au moyen pour selectionner un 
identif icateur de service (SID) d ' un service 
selectionne par I'usager dans la liste transmise, 
afin que le moyen pour selectionner selectionne 
1 ' identif icateur d' authentif ication (AUID) en 
fonction egalement de 1 ' identif icateur de service 
selectionne (SID) . 

30 6 - Serveur d ' authentif ication conforme a 1 ' une 

quelconque des revendications la 5, dans lequel le 
moyen pour selectionner (MSA) transmet au terminal 
(F2) une liste ({PRID}) d ' identif icateurs de 
prestataire (PRID) en reponse a une connexion etablie 

35 entre le terminal d'usager (T) et le moyen pour 
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selectionner (MSA) , et le terminal transmet (F3) au 
moyen pour selectionner un identif icateur de 
prestataire (PRID) selectionne par 1 ' usager dans la 
liste transmise, afin que le moyen pour selectionner 
5 selectionne 1 ^ identif icateur d ' authent if icat ion 
(AUID) en fonction notamment de 1 ' identif icateur de 
prestataire (PRID) selectionne. 

7 - Serveur d ' authent if ication conforme a 1 ' une 
10 quelconque des revendicat ions 1 a 6, dans lequel le 

moyen pour authentifier (MA) transmet (E13, F16) au 
serveur de service (SE) au moins le type du terminal, 
le type du reseau de communication, 1 ' identif icateur 
de service (SID) transmis, et un niveau de securite 
15 (NAU) de 1 ' authentif ication designe par 

1 ' identif icateur d' authentif icat ion selectionne 
(AUID), lorsque 1 Vusager est authentifie. 

8 - Serveur d ' authentif icat ion conforme a 1 ' une 
20 quelconque des revendications 1 a 6, caracterise en 

ce qu'il comprend deux serveurs distincts incluant 
respectivement le moyen pour selectionner (MSA) et le 
moyen pour authentifier (MA) . 

25 9 - Procede pour selectionner automatiquement 

I'une de plusieurs authentif ications identif iees 
respectivement par des identif icateurs 

d ' authentif ication (AUID) afin d ' authentif ier un 
usager d'un terminal (T) pour I'autoriser a acceder a 

30 un service dispense par un serveur de service (SE) 
d'un prestataire identif ie par un identif icateur de 
prestataire (PRID) a travers un reseau de 
communication (RC) , caracterise en ce qu ' il comprend 
les etapes de : 



ft 

27 



- selectionner dans une memoire (TAl a TA6) un 
identif icateur d ' authentif ication (AUID) en fonction 
de 1 ' identif icateur de prestataire (PRID) et du type 
du terminal et/ou du type du reseau de communication, 

5 et 

authentifier I'usager selon un processus 
d • authentif ication associe a 1 ' identif icateur 
d^ authentif ication (AUID). 

10 10 - Programme d'ordinateur sur un support 

d' informations, charge et execute dans un serveur 
d' authentif ication (SA) pour selectionner 

automatiquement 1 * une de plusieurs authentif ications 
identifiees respect ivement par des identif icateur s 

15 d' authentif ication (AUID) afin d ' authentif ier un 
usager d * un terminal (T) pour I'autoriser a acceder a 
un service dispense par un serveur de service (SE) 
d'un prestataire identif ie par un identif icateur de 
prestataire (PRID) a travers un reseau de 

20 communication (RC) , ledit programme comportant des 
instructions de programme pour : 

- selectionner (E6) dans une memoire (TAl a TA6) 
un identif icateur d ' authentif ication (AUID) en 
fonction de 1 ' identif icateur de prestataire (PRID) et 

25 du type du terminal et/ou du type du reseau de 
communication, et 

authentifier 1' usager selon un processus 
d* authentif ication associe a 1 ' identif icateur 
d' authentif ication (AUID) . 
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ABREGE 

Serveur de selecblon automatique d' authentif ication 

Un serveur d ^ authentif ication (SA) selectionne 
5 automatiquement 1 * une de plusieurs authentif ications 
identifiees par des identif icateur s 

d' authentif ication (AUID) afin d ' authentif ier un 
usager d ' un terminal (T) et I'autoriser a acceder a 
un service dispense par un serveur de service (SE) 

10 d'un prestataire identifie par un identif icateur de 
prestataire (PRID) a travers un reseau de 
communication (RC) . Le serveur est caracterise en ce 
qu*il comprend un module de selection (MSA) pour 
selectionner dans une memoire (TAl a TA6) un 

15 identif icateur d ' authentif ication (AUID) en fonction 
de 1 * identif icateur de prestataire et du type du 
terminal et/ou du type du reseau de communication, et 
un module d * authentif ication (MA) pour authentif ier 
1 'usager en langant un processus d ' authentif ication 

20 . associe a 1 ' identif icateur d * authentif ication . 



(Figure 1) 
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Connexion de T S SE 



SE -> [ PRID, (T, RC). SID ] ^ SA 
T <^SA 



Dans TA4 : PRID ^ {NAU} 



Dans TA5 : {NAU} {AUID1} 



Dans TA2 : (T, RC) {AUID2} 
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{AUID3} = 



{AUID1} n {AUID2} ^ {AUID3} 



SA ^ [ rejet ] T 



{AUID3} 
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E9 



E10 



E11 
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> 



{AUID3} > 1 



= 1 E72 



{AUID3}+ RE-> AUID 



AUID 
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DansTAI : AUID PAID 



MA lance PAID 



Usager authentifi6 ? 

r 



non 



oui 



USID<»(PRID, SID)? 



non 



OUI 



MA verifie : USID e TA6 ? 



OUI 



>^non 



SA ^ T ^ SE 
MA -> [ (T. RC). SID. NAU. USID ] ^ API de SE 



E012 



SA^ [rejet ]->T 
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FIG. 3 



F1 



F2 
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Connexion de T d SA 



SA -> {SID} ^ T 



T SID SA 



F4 



{PR'D} =^0^ Dans TA3 : SID <=> {PRID} ~^N^D} > 1 



{PRID} 



SA->[erreur] -> T 



F6 d F15 



= 1 F51 



F52 



SA ^ {PRID} T 



T -> PRID ^ SA 



(SID. PRID) 



Etapes E3 d E12. (FIG. 2) 
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SA ^ T ^ SB 
SA -» [ (T. RC), SID, NAU, USID ] API de SE 



